SaschaVolk 2 Geschrieben 7. März 2019 Melden Teilen Geschrieben 7. März 2019 Hallo Wir müßen einen PC bei einer großen Firma hinstellen , der als Config PC benutzt wird für eine Medienwand. Die Firma möchte jetzt ein Sicherheitskonzept haben für dieses Laptop. Ich habe mal bei BSI geschaut. Die Konzepte sind dann doch etwas zu mächtig was die anbieten. Hat sowas schon mal jemand gemacht und hätte da vielleicht eine Vorlage ?? Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 7. März 2019 Melden Teilen Geschrieben 7. März 2019 vor 4 Stunden schrieb SaschaVolk: Wir müßen einen PC bei einer großen Firma hinstellen , der als Config PC benutzt wird für eine Medienwand. Die Firma möchte jetzt ein Sicherheitskonzept haben für dieses Laptop. Ich habe mal bei BSI geschaut. Die Konzepte sind dann doch etwas zu mächtig was die anbieten. Hat sowas schon mal jemand gemacht und hätte da vielleicht eine Vorlage ?? Wer ist wir und was hast du/habt Ihr euch schon dazu überlegt? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Da sollte die Firma aber ein paar Vorgaben machen. Die müssen doch erst mal das geforderte Sicherheitsniveau vorgeben. Das geht dann bei der Hardware los: redundantes Netzteil, RAID, abschließbares Gehäuse, USV, etc und hört bei so sachen wie Passwörtern etc auf. Zwischendrinn ist dann sowas wie unnötige Dienste beenden, Verschlüsselung etc. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Ich habe was von Notebook gelesen - wie ist es mit dem Diebstahschutz? Soll der nur was anzeigen, bekommt das Teil Internetzugang, kann der ins interne LAN? Usw.... Und ich bin bei meinem Vorredner - das muss der Kunde liefern. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 (bearbeitet) Moin Ob der Auftragggeber sich Gedanken über ein Sicherheitskonzept machen möchte und könnte? Defür hat er doch den Auftragnehmer. Natürluich reine Annahme: - als Diebstahlschutz,ein Stahlkabel mit Schloss, Kensington-Schloss oä - zum Virenschutz den Defender oder was schöneres zum Verkauf :) einen Schutz gegen verseuchte Sticks und Cards. - Zugriffsschutz Benutzerrname und Passwort Ein Stahlkabel mit Schloss schützt aber nicht die Festplatte vor dem Ausbau, dem einfachen Entnehmen. Für W7 gab es beim BSI eine Liste der deaktivierbaren Dienste. Ich hatte den Serverdienst deaktiviet. Ob das Laptop über einen Bewegungssensor verfügt. bearbeitet 8. März 2019 von lefg Zitieren Link zu diesem Kommentar
SaschaVolk 2 Geschrieben 8. März 2019 Autor Melden Teilen Geschrieben 8. März 2019 (bearbeitet) Angaben haben die keine gemacht. Es soll ersichtlich sein das eine Firewall aktiviert ist mit den Ports die offen sind, und ein Virenscanner installiert . Mir geht es mehr um die Gliederung von so einem Konzept. Wie sowas aussehen soll. Ich habe sowas noch nie gemacht. bearbeitet 8. März 2019 von SaschaVolk Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 vor 1 Stunde schrieb lefg: Moin Ob der Auftragggeber sich Gedanken über ein Sicherheitskonzept machen möchte und könnte? Defür hat er doch den Auftragnehmer. Das geforderte Sicherheitsniveau kann wohl kaum der Auftragnehmer festlegen. 1 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 vor 1 Stunde schrieb magheinz: Das geforderte Sicherheitsniveau kann wohl kaum der Auftragnehmer festlegen. Also die Frage an den AG nach dem Niveau und was es den kosten dürfe? Ob dieser sich höchstes Niveau wünscht kostenlos? Und welche Niveaus es wohl gäbe? Und was die beinhalten? Schau'n wir mal. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 1 hour ago, lefg said: Also die Frage an den AG nach dem Niveau und was es den kosten dürfe? Ob dieser sich höchstes Niveau wünscht kostenlos? Und welche Niveaus es wohl gäbe? Und was die beinhalten? Der AG kann definieren, vor welchen Bedrohungen der Rechner geschützt werden soll. Zugriff aufs interne Netz, Diebstahl, ... Aus diesen Anforderungen ergeben sich die Maßnahmen (Kensington Lock, Verschlüsslung, eigenes VLan). Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Von der Stange wird es so ein Konzept nicht geben. magheinz hat es schon richtig geschrieben, der spätere Betreiber dieses Notebooks muss die Sicherheitsanforderungen benennen. Wie immer zählen hier die drei Kategorien, Verfügbarkeit, Vertraulichkeit, Integrität. Dann werden die möglichen Gefährdungen mit ihren Auswirkungen und Eintrittswahrscheinlichkeit ermittelt. Nennt sich Risikoanalyse. Auf die erkannten Risiken werden Maßnahmen angewandt, um die Risiken abzuwenden. Dies wird runter geschrieben und schon hat man ein einfaches Sicherheitskonzept. Eine gewisse Basis-Sicherheit, Virenscanner, deaktivierte "böse" Dienste, Heimtelefonieren etc. sollte aber grundsätzlich unabhängig vom Sicherheitsniveau des AG schon bestehen. Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Danke an alle, da lernen sogar noch andere davon. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Pitti beschreibt da übrigens wunderbar das Vorgehen nach BSI Grundschutz... 1 Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 vor einer Stunde schrieb magheinz: Pitti beschreibt da übrigens wunderbar das Vorgehen nach BSI Grundschutz... Nicht ganz, habe ein bisschen 27001 native reingemischt... Aber Danke für das "wunderbar". Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 @Pitti259 hast Du das Vorgehen aus dem BSI und ISO pamfles Dir erlesen können? Oder gibt es da noch andere gute Werke? Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 vor 15 Minuten schrieb RolfW: @Pitti259 hast Du das Vorgehen aus dem BSI und ISO pamfles Dir erlesen können? Oder gibt es da noch andere gute Werke? Oh mei, nach 14 Jahren als Auditor kann ich schwer sagen wo ich mir das erlesen habe. Aber wenn es um den Grundschutz geht, dann ist der kostenfreie Online-Kurs auf den BSI-Seiten wohl recht zielführend. Auch der BSI-Standard 200-2 wäre für IT-fachlich versierte Sicherheitseinstieger einigermaßen verständlich. Für die ISO 27001 in der internationalen Variante gibt es recht viel Literatur. Die Norm selbst ist schwere Kost, die empfiehlt sich erst für bereits Geschädigte. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.